Bloggtopppen.se och SQL injection - Fin fil med alla users
 

Jimmy har du lite hett om öronen?

Tog en titt i filen precis där man självklart ligger med med mail osv.
Hoppas de inte knäcker pw så snabbt bara :P
http://www.idg.se/2.1085/1.412262/lo...-bloggtoppense

Om sajten var öppen för SQL-injektioner gissar jag att ingen salt användes vid hashningen heller?

Testade att skapa en md5 hash och det är enbart det som använts.
Så alla lösenord i filen är md5 hashar utan salt
http://www.miraclesalad.com/webtools/md5.php

Bara testade att söka efter sommar2011 och 2010 och de var tre som hade det som lösen.
Finns nog en hel del lösen som kommer läckas tack vare detta :/
Outch, hela 93 har sommar som lösen

Lyckat!

Tittar man i tråden på Flashback är det ju dessutom löjligt enkla lösenord journalisterna på Expressen och AB använder för sina bloggtoppen-konton.

Jag antar att väldigt många här har ett konto där.

Kolla lösen "boll" eller "bollar" verkar vara ganska vanligt.

Jag minns inte ens att jag hade ett konto där. Men det hade jag tydligen. Som tur är med ett unikt lösenord (bara 42 bits enligt KeePass) som inte används på annat håll.

Jag är lite slö i huvudet såhär på eftermiddagen, men vart hittar jag databasen? Skulle vilja se om jag finns med.

Man skulle kunna tro att det är flashback eller TPB som sprider hackade databaser. Men nej, det är statlig media med SVT. Varsågod: http://svt.se/2.22620/1.2579371/koll...gtoppen-lackan

(direktlänk till filen som svt länkar till: http://www.mediafire.com/?mei9h8j72ira7ea)

Hej,

Jobbigt detta med lösenord. Jag har säkert 40-50 olika sajter jag loggar in på, mer eller mindre frekvent och det lär jag knappast vara ensam om.

Journalisterna försöker ju vara lite mer hippa och rebelliska idag :) Allt som finns på internet är fritt fram att sprida anser tyvärr många.

Nu är det dock ganska onödigt att kasta skit på Jimmy och Bloggtoppen.se. Det finns många stora webbplatser som har samma säkerhetshål. Naturligtvis är det inte alls bra men få utvecklare är felfria och i princip alla större, lite äldre webbplatser har åtminstone delar med ganska omodern kod kvar och resurser brukar sällan användas till saker som inte genererar ett tydligt mervärde för webbplatsen. Det här handlade vad jag förstått dessutom om en köpt mjukvara.

Mycket trist att något sådant här ska hända oavsett orsaken. Man bör emellertid först och främst ge sig på de individerna som sprider denna information. Kanske något oansvarigt av SVT men samtidigt så kan de väl hävda att listan är till gagn för användarna. Som utvecklare är det onekligen också ganska intressant att se vilka lösenord som används.

Ganska illa gjort utav journalisterna också att använda samma lösenord till Bloggtoppen.se som till sina mailkonton i arbetet. De har ett ansvar att göra sitt yttersta för att skydda sina källor och det har de verkligen inte gjort här.

Eftersom bloggtoppen.se måste ha kört mod_security och/eller andra säkerhetssystem, så måste hackarna varit mycket duktiga.......

Är det SVT gör lagligt?

Självklart pekar vi/jag inga fingrar, utan bara informerar.
Klart Jimmy hade velat slippa denna skitstorm från alla hörn.

Tråkigt för han, kan hälla bensin på brasan och göra tjänsten mer poppis eftersom den omtalas mycket i media.

Jag använder lastpass och då kan man ha unika lösen överallt.

Till dig och alla andra rekommenderar jag Roboform. Roboform sparar alla dina lösenord antingen lokalt eller på deras server (ja det lät ju väldigt säkert men vad jag vet så ska ingen ha hackat eller crackat Roboform).
Du har sedan ett masterpassword som du loggar in med på din dator och du kan sedan klicka på den sida du vill gå till, sidan öppnas i din webbläsare och du loggas in automatiskt. Inget krångel med att behöva copy/paste lösenordet eller dylikt.

Tobab och atw,

När sånt här uppdagas känns det inte som någon dum idé. Tack för förslaget.

jag har alltid skilt på viktiga lösenord (företagsrelaterat, bank, mail, Facebook) och mindre viktiga (annat, inkl bloggtopplistor), men Lastpass, Roboform och motsvarande tjänster "löser" ju problemet på ett sätt som känns smidigare och lite säkrare.

Hej igen,

Vad tycker ni då om detta: http://www.chrisdottodd.com/2010/10/...-managers.html

Ingreppet har varit genom MySQL injections va? Kör inte bloggtoppen på ett färdigt system vid namn evoTopsites? Det är bara ett svagt minne jag har och jag hittar inte deras officiella hemsida längre.

bloggplatsen.se verkar ha tagit listan från bloggtoppen som spreds där även mailadresserna finns och sen spammat.

Jag har ingen blogg på bloggplatsen.se men har fått spammail till maildresserna som finns i listan som spreds från bloggtoppen.

Dom försöker vara smarta och skriver "Sajten Bloggtoppen.se har blivit hackad och användarnas lösenord sprids nu på nätet!
Flera har hört av sig och trott att det är Bloggplatsen som blivit hackad, men det är alltså Bloggtoppen och inte Bloggplatsen, som blivit utsatt för intrång....."

Sen ger dom lite tips om lösenord och sen länkar till sin site.

Är det här ett smart spammail eller ? Jag hatar spam oavsett och är verkligen folk korkade och tror annat än att det är ett vanligt spammail ?

Nu kan man ju räkna med en hel del spam angligen när mindre nogräknade typer kommer att använda dom där mailadresserna i listan från bloggtoppen till spam.

Han sa i en intervju att det var köpt men vilket system det handlar om vet jag inte. Kan ju dock vara bra att veta för de som kör på samma.

Hoppas verkligen han kör vidare trots detta. Inte så kul att gå igenom kod man inte skrivit själv dock om han inte vet ungefär var hålet finns (kan ju vara ett eller tio dessutom).

Hej! Jag kan säga direkt att vi gjorde en tabbe när vi snabbt skulle försöka vara kreativa och skicka ut ett mail till våra användare som är medlem på Bloggtoppen. Vi använde en felaktig JOIN i SQL-satsen, så alla bloggar hos oss som saknar angiven e-postadress matchades felaktigt som användare på Bloggtoppen. Detta märkte vi först nu på morgonen när folk hörde av sig, och det handlar om några tusen adresser.

Yeah right

Ni skulle ha skickat till alla era medlemmar istället för att joina på en (stulen) databas från en konkurrerande verksamhet.

Ni har skickat detta obeställda e-postmeddelande (spam) till mig i egenskap av enskild firma. Det är förbjudet att skicka obeställd e-postreklam till privatpersoner och enskilda firmor enligt http://www.konsumentverket.se/sv/int.../Anmala-spam1/
Jag betraktar ert utskick enbart som spam. Ni bryter alltså mot lagen.

Hur många är några tusen (som matchades felaktigt)? Tror det är många!

http://www.idg.se/2.1085/1.412410/180-000-konton-lackta

Jimmy är långt ifrån ensam. Åtminstone ett par av sajterna på listan sparar dessutom lösenorden i klartext. Någon som har tillgång till den första filen från augusti? Vill gärna se efter om jag finns med där...

Ja, det är många 6-7000. Och givetvis är det att ses som spam i de fall dom inte skulle ha mailet. Vi är normalt väldigt restriktiv med e-postutskick till våra medlemmar och har inget stående nyhetsbrev eller annonsörer som gör utskick till medlemmarna eller liknande. Jag tror nog att alla vi som hängt på WN en längre tid har samma syn på spam.

fin förklaring, satt och läste mailet imorse också.
De lär dimpa in en hel del mail framöver till adressen i filen.

Jag antar att du är en av dom som fått mailet utan att vara medlem på Bloggplatsen? Har du fått ett eller flera mail? Worst case är att samma adresser kan ha fått massvis med mail (som då var avsedd för olika bloggar).

http://www.lindqvist.com/bangerhead-...mmande-puckon/

:D

Om Bloggplatsens utskick är av reklamkaraktär hoppas jag någon polisanmäler/KO-anmäler även dem.

Den stora frågan är ju hur tusan ansvariga på våra största tidningar tillåter e-postlösenord på mindre än åtta tecken och helt utan kontroll. Att "tejp" och "boll" ens går att ange som lösenord...

Bloggplatsens mail handlade enbart om att byta lösenord och vikten av att välja ett bra lösenord. Ingen reklamkaraktär alltså.

Jag tror ingen på WN går på det. Däremot var det ovanligt snyggt gjort även om det fortfarande var spam.

Vem köper det? Syftet med mejlet som gick ut till ALLA e-postadresser var givetvis att upplysa folk som inte redan är medlemmar på deras sida att faktiskt bli det. Även om ett reklambudskaps inte skrivs ut i klartext så kan det givetvis finnas där ändå.

Du behöver inte köpa något alls, det är fakta. Syftet kan man däremot diskutera.

Men de använder trots allt ett stulet register vilket inte är särskilt smart.

Det borde allvarligt talat vara straffbart att vara så inkompetent att man lagrar användares lösenord utan fullgott skydd. Det finns inga som helst ursäkter för så uppenbart vårdslöst beteende och så lätt avvärjda problem.

Nu får Ramak lite hett också, "affelix/gratisbio" då AFTONBLADET AVSLÖJAR att gratisbio's db är ute. Vilket skämt ab är när de målar upp att de AVSLÖJAR. Är det inte flashback nissarna och hackarna som avslöjar snarare och att AB hoppar på det kalla tåget och eldar på utav bara fan för att få det att se ut som de är spjutspettsen inom Sveriges it avslöjanden.

Klassiska när nått kommer fram och de ringer runt till alla "säkerhets experter" och gör fina citeringar.

Ungefär lika klyftigt som att säga att alla läkare borde dömas så fort de ger en felaktig diagnos. Hoppas du inte är arbetsgivare.

Glöm inte alla experter på sociala medier!

Det är nästa för bra för att vara sant, när statlig media går och hjälper till spridda password filer..